OffNews.bg

Пет основни неща, които повишават вашата информационна сигурност

Филип Петров

1. Обновявайте софтуерните си продукти

Това е нещо, което традиционно масовия потребител неглижира. Свидетел съм на огромно количество компютри, които се инсталират, конфигурират и „изоставят“ (от гледна точка на поддръжка на софтуера), при това не само обикновени PC/лаптопи, а дори и сървъри. Колкото по-богат откъм функции е компютърния софтуер, толкова повече възможности има в него да се появят уязвимости и „бъгове“. Злонамерените хора използват тези пропуски в сигурността на програмите и ги използват за най-разнообразни цели – кражба на информация от компютъра ви, атака на други компютри чрез вашия компютър, изпращане на спам използвайки вас като посредник (изпращач), и др. Затова е силно препоръчително редовно да проверявате за обновявания на вашия софтуер, особено този който използвате при връзките си в интернет, както и да качвате „кръпките“ за операционната си система. Най-често това са:

A. Ако използвате Windows, пускайте регулярно програмата Windows Update и инсталирайте като минимум всички “High Priority” обновявания (на по-старите компютри, които все още използват Windows XP посещавайте сайта http://windowsupdate.microsoft.com). По принцип т.нар. „автоматични обновявания“ (automatic updates) са включени по подразбиране, но често потребителите не обръщат внимание на „жълтата иконка с удивителна“ долу в работната лента или спират автоматичните обновявания „защото забавят компютъра“ (което не е невярно твърдение);

B. Обновявайте интернет браузърите си. Ако използвате Intenet Explorer, той ще се обновява чрез Windows Update. Ако използвате Mozilla Firefox, отидете на Help > About и проверете дали сте с последна версия. Отново с Firefox – посетете https://www.mozilla.org/en-US/plugincheck/ и се уверете, че всички добавки към браузъра ви са с най-нова версия. В Google Chrome ot “Chrome menu” изберете „Update Google Chrome”. Повечето браузъри и разширения вече имат практиката се самообновяват, но все пак се уверете, че всичко е наред;

C. Много уеб сайтове използват Adobe Flash, но и практиката показва, че много често “Flash Player” се оказва уязвим. Уверете се, че използвате последна версия – свалете я от http://get.adobe.com/flashplayer/. Когато го инсталирате ще ви попита дали искате да се обновява автоматично. По-добре е да го изберете да го прави, освен ако не желаете да следите за обновявания сами;

D. Същото, макар и в по-малка степен, важи за Java. Ако имате инсталиран JRE, можете да проверите дали използвате последна версия на http://java.com/en/download/;

E. Много често ви се налага да сваляте документи, които се отварят с различни програми. Тези документи могат да имат скрит в себе си вирус или код, който да предизвика инфектиране на компютъра ви. Това е по-често срещан проблем при отваряне на документи, в които е възможно да бъдат имплементирани скриптове. При отваряне на картинки (JPEG, TIFF, BMP, и др) или видео (AVI, MP4, MPEG и др.) можете да сте относително спокойни. Но ако отваряте файлове на Word или пък PDF, не е зле да се погрижите програмите, които четат тези файлове, да бъдат обновени. За да обновите своя Adobe Reader от http://get.adobe.com/reader/. Microsoft Word се обновява чрез Windows Update;

F. Всичко друго, за което се сетите. Използването на последните версии на софтуера на вашия компютър е препоръчително.

Горните препоръки са насочени към масовите потребители – тези с Microsoft Windows. Но потребителите на Линукс и BSD трябва да знаят, че за тях важи същото – обновявайте софтуера си поне в частта за т.нар. „security patches”. Същото важи и за хора, които поддържат свои лични сайтове – CMS, форуми, блогове и др. Често сайтовете биват „хаквани“ просто защото софтуерът, на който работят (Wordpress, Joomla, Drupal, PHPBB, SimpleMachines, vBulletin, и т.н. и т.н.) не е бил обновен. Затова обновявайте!

2. Защитете „флашките си“

Според моята лична статистика, над 50% от вирусите се пренасят не чрез интернет сайтове, а чрез инфектирани USB „флашки“. Знаете ги – най-често ги използваме, за да пренесем информация от един компютър на друг. Да, но в Windows има една досадна „екстра“ наречена “autorun” (автоматичен старт). Тя се използва обикновено за компакт дискове – когато вкарате диск със софтуер в устройството инсталацията започва автоматично. Този принцип се реализира с малко текстово файлче, което е с име „autorun.inf” – в него се указва коя програма да бъде стартирана при включване на устройството. Същият принцип обаче може да се използва и при USB флашките. Досетихте ли се – флашката ви може да съдържа autorun.inf файл, който от своя страна да стартира изпълнимия файл на вирус. Това обикновено става напълно скрито от вас – дори не разбирате, че се е случило. А самият вирус след това, освен основната дейност която извършва, инфектира и други флашки, които се включват в системата.

Повечето антивирусни програми се справят с проблемите – те проверяват всяка програма, която се стартира. Гаранция обаче, че антивирусната програма ще засече вируса няма (за това ще пиша в следващата точка). Затова първото основно нещо, което трябва да направите да се премахне Autorun функционалността на вашия Windows (особено ако сте все още на Windows XP или Vista). Ако го направите, ще изпитате само едно неудобство – когато вкарвате CD/DVD с програма, ще трябва първо да го отворите и да пускате ръчно Setup.exe вместо да се стартира само. Не е болка за умиране, нали? Може функционалността да се изключи автоматично със следната „кръпка“ (patch): http://go.microsoft.com/?linkid=9741395/.

Второто нещо е да „имунизирате“ собствените си USB флашки така, че да не могат да бъдат заразявани, когато ги използвате на чужд компютър. Това обикновено се прави с хитрост – създава се неизтриваем (чрез манипулиране на FAT таблицата на флашката) файл с име “autorun.inf”. Така вируса няма да може да го презапише. Забележете, че файла с вируса (изпълнимото exe) пак ще се качи на флашката, но то просто няма да бъде автоматично стартирано при вкарване на флашката на друг компютър. За да „имунизирате“ флашките си, препоръчвам да използвате следната програма: http://www.pandasecurity.com/homeusers/downloads/usbvaccine/. Тя впрочем може да премахне и Autorun функционалността на Windows описана в предишния параграф.

Има още нещо важно по тази точка – често изпълнимите файлове с вирусите се „крият“ като скрити (hidden) и системни (system) файлове. По подразбиране в Windows такива не се показват, когато прелиствате папки (директории). В Windows Explorer отидете на Tools > Folder Options > View и направете следното:

Отбележете “Show hidden files and folders”;

Премахнете отметката на “Hide protected operating system files (recommended)”.

По този начин ще можете да видите съмнителните файлове на вашата флашка.

3. Не забравяйте антивирусните програми

Да, тривиално е, но все пак трябва да се каже, напомня и повтаря непрекъснато – използвайте антивирусна програма и я обновявайте най-редовно! В днешно време има много безплатни решения. Например Microsoft Security Essentials (http://windows.microsoft.com/en-US/windows/security-essentials-download) и AVG Free (http://free.avg.com/eu-en/free-antivirus-download) за Windows или пък ClamAV (http://www.clamav.net) за линукс. Справят се достатъчно добре.

И все пак не разчитайте само на тях – антивирусните програми не гарантират нищо при отварянето на съмнителни файлове и интернет ресурси. Имайте предвид, че вирусите обикновено са винаги „една крачка напред“ спрямо антивирусните програми. Те също се самообновяват и много често успяват да заблуждават (и дори понякога направо да „обезвреждат“) антивирусните програми. Често има и промеждутък дори от по няколко дни между появата на нов вирус и неговото регистриране от големите доставчици на автивирусен софтуер. През това време вие сте уязвими ако отворите файл, който съдържа такъв вирус.

Има един доста популярен проект за “antimalware” (вид антивирусен софтуер), който е фокусиран върху „засичането на вируси, които другите антивирусни програми не откриват“ - нарича се MalwareBytes (http://www.malwarebytes.org/). Лично аз имам доста позитивен опит при „изчистването на заразени компютри“ използвайки този софтуерен продукт, затова си позволявам да го препоръчам.

4. Внимавайте каква информация изпращате и как я изпращате

Това е много дълга и много обширна тема, за която една статия определено не стига. Все пак ще се опитам да набележа най-основните компоненти за вашата „интернет сигурност“:

A. Използвайте сигурни пароли. Паролите “parola”, “pesho”, “123456” и подобни НЕ са сигурни. Като минимум никога не използвайте единични думи от речника, както и никога не използвайте пароли по-къси от 8 символа;

B. Не използвайте една и съща парола в различни сайтове! Можете да си го позволите като удобство само и единствено за „сайтове за които не ви пука ако акаунта ви бъде хакнат“, т.е. такива, в които тъй или иначе не сте предавали никаква важна информация. Използването на паролата за електронната ви поща / фейсбук / skype като парола в други сайтове е най-честият случай при казус с „откраднати акаунти“. При това е почти недоказуемо, дори да знаете кой го е направил;

C. Забележете, че вирус може да бъде качен и чрез „заразен“ изпълним файл на иначе съвсем нормална програма. Така, че ако трябва да свалите програмата X, убедете се, че сте я изтеглили именно от официалния сайт на програмата X. Ако я свалите от друг сайт, рискувате да свалите модифициран по неприятен начин вариант;

D. Не отваряйте изпълними файлове и файлове със скриптове, които са свалени от недостоверни източници. В Windows всичко, което завършва с .exe,.msi, .cmd, .com, .cpl,.bat, .msp, .paf, .pif, .ps1, .reg, .rgs, .vb, .vbe, .vbs, .ws, .wsf и т.н. може да съдържа код, който да предизвика инсталиране на вирус. Понякога „хакерите“ използват дребни хитрости, като например изпращане на файл по електронната ви поща с име “image.jpg.exe” – имитирайки по елементарен начин, че е картинка, а всъщност е изпълним код. В историята са познати и по-сложни схеми, в които името на файла съдържа нестандартни символи, които объркват програмата за четене на електронна поща и тя реално се подлъгва, че файла наистина е картинка, даже зарежда файла автоматично при отваряне на писмото (пак препратка към първата точка – обновявайте си софтуера, за да сте сигурни, че поне познатите уязвимости ги няма). Най-важното тук е, че когато отваряте каквото и да било, бъдете сигурни, че то идва от сигурен източник;

E. Пазете се от “фишинг” сайтове. Това са привидно копия на добре познати от вас сайтове, които обаче са качени на друг домейн (интернет адрес). Визията на фишинг сайта е абсолютно същата, каквато е на оригиналния сайт, но действието му е съвсем различно – когато вие въведете своето име и парола, те се съхраняват в база от данни на хакера. При това често пъти те успешно успяват да ви пренасочат към истинския уеб сайт и дори да ви „логнат“ в него (използвайки уязвимост на оригиналния сайт от тип XSRF, каквато впрочем се среща достатъчно често, при това дори на доста популярни сайтове). Така вие дори не разбирате, че е станало нещо нередно. Затова е важно винаги да следите адреса на уеб сайта, в който влизате;

F. Бъдете особено внимателни при пазаруване в интернет. Ако купувате от някакъв непознат за вас сайт, по-добре не давайте кредитна/дебитна карта, а използвайте алтернативен метод за плащане (например кешово при доставката от куриера и подобни). Също така имайте предвид, че използването на системи за плащане като paypal.com или еpay.bg е много по-сигурно, отколкото даването директно на информация за вашата кредитна/дебитна карта в сайта.

5. Ами подслушването?

Подслушването в интернет е реален проблем и всеки един интернет потребител може да бъде засегнат, дори без да е заразен с вирус и да е с напълно защитена система! Когато вие отваряте даден уеб сайт, вие е нормално да нямате директно опънат кабел до сървъра. Вашата информация минава през дълга поредица от компютърни системи и всяка от тях може да прочете информацията преди тя да достигне до крайната си цел. Всяка една от тези компютърни системи е потенциален „подслушвач“. Най-тривиално вашият интернет доставчик може да ви подслушва всичко – целия ви интернет трафик минава през него, съответно няма гаранция, че някой служител няма да се възползва от него. Решението на този проблем на този етап е само и единствено едно – асинхронната криптография!

От потребителска гледна точка нещата изглеждат прости – стандартно, когато отворите някой уеб сайт, адресът в лентата започва с http://. Това означава, че трафикът НЕ е криптиран. Ако адресът обаче започва с https:// (“s” стои за “secure”), то трафикът Е криптиран с SSL (TLS). Когато изпращате важна информация към уеб сайт, бъдете убедени, че трафика ви минава през https канал.

Само това обаче НЕ е достатъчна информация за вашата ефективна защита. На първо място трябва да знаете, че SSL сертификатите трябва да са валидни и trusted (вашият уеб браузър да им „вярва“) – това става, ако са „подписани“ от източник (CA – certificate authority), който присъства с т.нар. “root” сертификати, които са вградени във вашия браузър. Когато инсталирате уеб браузър, той идва с набор от root сертификати, които могат да се използват за подписване на други сертификати.

Ако някой сайт използва сертификат, който не е подписан от CA, на което браузъра ви вярва, обикновено се показва съобщение със “SSL warning”, с което браузъра ви предупреждава, че канала е компрометируем. Вие имате опцията да приемете невалидния сертификат и да продължите. Вашият канал отново ще е криптиран (при това не по-лошо от нормалните сертификати), но в този случаи можете да станете жертва на т.нар. „man in the middle” (човек в средата) атака. Идеята на тази атака е, че подслушвача вече не просто чете вашия трафик, но и самия той се включва като посредник на информацията. Пред вас той имитира, че е истинския сайт, като той самичък е генерирал SSL сертификат за себе си, декриптира (и записва) информацията, която вие подавате. От другата страна пред истинския сайт той се представя за вас. По този начин той препредава информацията (но я има в декриптиран вид) и двете страни въобще не разбират, че това е станало. Затова е важно сертификатите да са сигурни (trusted) – идеята е, че хакера не може да подпише сертификат за домейна X при истински trusted CA, ако той самия не е собственик на домейна X. Така, че от чисто потребителска гледна точка гледайте за валидност на сертификатите и не пренебрегвайте съобщенията за грешка. При използване на валиден SSL сертификат в Mozilla Firefox до адреса на сайта излиза зелена лента с името на CA, което го е подписала. В Internet Explorer самият address bar става зелен.

Важно е също така да знаете, че всеки един момент, в който вие заредите ресурс от даден сайт, който не е криптиран, вие излагате всичко на риск. Не е важен само момента на публикуване на важната информация (например вашето потребителско име и парола) – важно е трафика да е криптиран през цялото време на вашата „сесия“. Когато вие влезнете в даден сайт, вие се автентикирате, след което сайта създава уникален идентификатор наречен “session id”. С този “session id” сайта ви разпознава когато изпратите нови заявки до него – така той не ви пита при всяко действие за име и парола. Ако вашето session id бъде изпратено по некриптиран канал, хакерът (подслушващия връзката ви) може моментално да влезе във вашия акаунт дори без да знае вашето име и парола. За нещастие този проблем често е неглижиран от разработчиците на уеб сайтове – мога да дам редица примери за сайтове, които използват https, но позволяват същите ресурси да бъдат отваряни и през http. Така хакера може да ви пренасочи (redirect) към http канала. Вашият браузър стандартно ще изпише съобщение от типа “сайта се опитва да ви пренасочи към некриптиран канал“, но практиката показва, че това е често срещано съобщение, което масовия потребител пренебрегва. Толкова често, че понякога го изключва по подразбиране, за да не се показва. Друг възможен проблем, освен кражбата на сесия (session hijacking) чрез подслушване, е т.нар. „фиксиране на сесия“. За повече информация за проблема можете да прочетете тук: http://www.cphpvb.net/network-security/356-session-fixation/.

И накрая ще завърша с малко информация, която се отнася главно за цифровите подписи – НЕ инсталирайте сертификати, които са свалени от уеб сайтове! Ако институцията, която издава цифровия ви подпис, не го е подписала с trusted CA (certificate authority), то вземете физически сертификата например с USB флашка и го „инсталирайте“ (вкарвате в “trusted certificates”) от нея. Има „ботове“ (автоматизиран компютърен софтуер), които „подслушвачите“ използват, за да следят трафика и когато вие тръгнете да изтегляте файл с разширение “.crt” (SSL сертификат), ботовете го подменят с друг. След това вие инсталирате сертификата, а за бота от тук насетне не остава нищо друго освен да ви изчака да се опитате да го използвате и да осъществи “man in the middle” атака.

П.П. Забелязахте ли, че всички връзки, които дадох в статията, не са с https?